Realizacja projektu to jedno. Utrzymanie efektów, poprawne rozliczenie, gotowość na kontrolę i aktualna dokumentacja to drugi etap — często trudniejszy, bo mniej widoczny niż zakup urządzeń czy wdrożenie systemów.
Ten przewodnik porządkuje najważniejsze kwestie: dokumenty, audyt, trwałość projektu, koszty po zakończeniu grantu i praktyczną checklistę dla urzędu.
1. Najpierw dokumenty: ankieta, audyt i rozliczenie
Po zakończeniu działań projektowych JST powinna mieć uporządkowaną dokumentację potwierdzającą, co zostało wdrożone, kiedy, przez kogo i jaki efekt osiągnięto.
Najważniejsze dokumenty to zwykle:
ankieta dojrzałości cyberbezpieczeństwa,
raport z audytu,
dokumenty potwierdzające odbiór sprzętu i usług,
faktury i potwierdzenia płatności,
umowy użyczenia sprzętu dla jednostek podległych, jeżeli sprzęt został im przekazany,
procedury i rejestry potwierdzające, że wdrożone rozwiązania są realnie używane.
W praktyce problem nie polega tylko na tym, żeby „mieć dokumenty”. Problem polega na tym, żeby dokumentacja była spójna. Ankieta, audyt, faktury, protokoły odbioru i procedury powinny opowiadać tę samą historię: co JST kupiła, po co to zrobiła i jak utrzymuje efekt projektu.
Jeżeli urząd nie ma jeszcze uporządkowanego minimum dokumentacyjnego, dobrym punktem wyjścia jest moduł Podstawy KRI, który porządkuje polityki bazowe, dostępy, backup, aktywa i rejestr systemów.
2. Audyt SZBI: nie tylko formalność
Każdy grantobiorca powinien potraktować audyt Systemu Zarządzania Bezpieczeństwem Informacji jako realny test gotowości, a nie wyłącznie załącznik do rozliczenia.
Audyt powinien odpowiedzieć na proste pytania:
Czy JST ma aktualne procedury?
Czy wiadomo, kto odpowiada za bezpieczeństwo informacji?
Czy są rejestry aktywów, dostępów, backupów i incydentów?
Czy wdrożone rozwiązania są utrzymywane, czy tylko kupione?
Czy jednostki podległe zostały objęte procesem, jeśli korzystały z grantu?
To szczególnie ważne w przypadku szkół, CUW, bibliotek, ośrodków pomocy społecznej i innych jednostek organizacyjnych. Jeżeli były ujęte w projekcie, nie powinny być pominięte przy dokumentacji i audycie.
Wymagania wobec audytora również mają znaczenie. Raport powinien być podpisany przez osobę posiadającą odpowiednie kwalifikacje i doświadczenie. Jeżeli audyt wykonuje podmiot zewnętrzny, koszt może być kwalifikowalny. Jeżeli robi to własny pracownik JST, urząd nadal może uzyskać wartość merytoryczną, ale wynagrodzenie takiej osoby co do zasady nie jest rozliczane jako koszt zewnętrzny.
3. Trwałość projektu: sprzęt to za mało
Trwałość projektu nie oznacza tylko tego, że sprzęt stoi w serwerowni przez wymagany okres.
JST powinna utrzymać efekt, który zadeklarowała w projekcie. Obejmuje to sprzęt, licencje, procedury, poziom organizacyjny, kompetencje i sposób zarządzania bezpieczeństwem.
Ryzyko pojawia się wtedy, gdy po zakończeniu projektu:
wygasają licencje i nikt nie planuje ich odnowienia,
odchodzi osoba odpowiedzialna za cyberbezpieczeństwo,
procedury nie są aktualizowane,
rejestry przestają być prowadzone,
jednostki podległe korzystają ze sprzętu bez zasad i umów,
wdrożony system nie jest monitorowany ani testowany.
W takim przypadku urząd może formalnie posiadać zakupione rozwiązania, ale realnie obniżyć poziom dojrzałości, który wykazał przy rozliczeniu. To jest najczęstsza pułapka: projekt został zakończony, ale system zarządzania nie został utrzymany.
Dlatego po zakończeniu grantu warto wdrożyć prosty rytm przeglądów: raz na kwartał sprawdzić rejestry, dostępy, backupy, licencje, incydenty i stan realizacji zaleceń z audytu. W większych jednostkach warto oprzeć to o System zarządzania bezpieczeństwem informacji, czyli uporządkowaną warstwę nadzoru nad ryzykiem, audytami, przeglądami i decyzjami kierownictwa.
4. Koszty po projekcie: co zostaje po stronie JST
Grant pomaga sfinansować określone zakupy i działania, ale nie zwalnia JST z planowania kosztów utrzymania.
Po zakończeniu projektu urząd powinien sprawdzić, które elementy będą wymagały własnego budżetu. Najczęściej są to:
odnowienia licencji,
maintenance i wsparcie producenta,
aktualizacje systemów,
przeglądy techniczne,
testy backupu i odtworzenia,
szkolenia uzupełniające,
obsługa sprzętu przekazanego jednostkom podległym,
prace modernizacyjne w serwerowni lub sieci lokalnej.
Osobno trzeba potraktować infrastrukturę fizyczną. Klimatyzacja, modernizacja elektryki, okablowanie strukturalne, prace budowlane, szafy rack czy zabezpieczenia pomieszczeń często są potrzebne, ale nie zawsze mieszczą się w kosztach kwalifikowalnych. To powinno trafić do lokalnego planu utrzymania infrastruktury IT.
Błąd polega na tym, że urząd planuje zakup, ale nie planuje eksploatacji. Po dwóch latach okazuje się, że system działa gorzej niż w dniu odbioru, bo zabrakło budżetu na utrzymanie.
5. Zamówienia i zmiany: dokumentuj decyzje
W trakcie projektu mogły pojawić się zmiany: inny zakres zakupu, przesunięcia między kategoriami wydatków, aktualizacja potrzeb po audycie lub rezygnacja z części pierwotnych założeń.
Sama zmiana nie musi być problemem. Problemem jest brak uzasadnienia.
Każda istotna decyzja powinna mieć ślad: notatkę, akceptację, odniesienie do wskaźników, protokół, korespondencję lub aktualizację dokumentacji projektowej. Przy kontroli ważne będzie nie tylko to, co kupiono, ale dlaczego właśnie to rozwiązanie było zasadne.
To samo dotyczy kolejnych postępowań zakupowych po zakończeniu programu. Jeżeli urząd kupuje nowe rozwiązania IT, wymagania bezpieczeństwa powinny pojawiać się już w OPZ, SWZ, kryteriach odbioru i umowie. Pomaga w tym moduł Cyberbezpieczeństwo w zamówieniach publicznych, który porządkuje wymagania bezpieczeństwa na etapie zakupu i odbioru.
6. Checklista po zakończeniu projektu
Przed złożeniem rozliczenia i zamknięciem projektu warto przejść krótką checklistę.
Czy raport z audytu jest podpisany przez osobę z właściwymi kwalifikacjami?
Czy ankieta dojrzałości została przygotowana dla JST i właściwych jednostek podległych?
Czy protokoły odbioru są kompletne i oznaczone zgodnie z wymaganiami programu?
Czy faktury i płatności są uporządkowane?
Czy sprzęt przekazany jednostkom podległym ma umowy użyczenia lub inne dokumenty przekazania?
Czy wiadomo, kto odpowiada za utrzymanie efektów przez kolejne lata?
Czy licencje, wsparcie i odnowienia mają zaplanowany budżet?
Czy procedury, rejestry i polityki są aktualne?
Czy zalecenia z audytu mają właścicieli i terminy realizacji?
Czy kierownictwo ma krótką informację o stanie projektu i ryzykach po jego zakończeniu?
Jeżeli na część pytań odpowiedź brzmi „nie wiem”, to znaczy, że projekt nie jest jeszcze domknięty organizacyjnie.
Podsumowanie
„Cyberbezpieczny Samorząd” nie kończy się w dniu odbioru sprzętu ani wysłania dokumentów rozliczeniowych. Dla JST najważniejszy etap zaczyna się później: utrzymanie efektów, aktualizacja dokumentacji, przeglądy, audyty i świadome zarządzanie ryzykiem.
Dobrze rozliczony projekt daje bezpieczeństwo formalne. Dobrze utrzymany projekt daje odporność organizacyjną.
Najgorszy wariant to sytuacja, w której urząd kupił narzędzia, ale nie zbudował systemu ich utrzymania. Dlatego po zakończeniu projektu warto przejść od pytania „co kupiliśmy?” do pytania „jak będziemy to utrzymywać, dokumentować i wykazywać przy kontroli?”.